seguridad y cómputo forense - azc.uam.mx · 10/09/2007 manuel aguilar cornejo 2 indice...
TRANSCRIPT
Seguridad y CSeguridad y Cóómputo forensemputo forense
Manuel Aguilar Cornejo
Area de Computación y Sistemas Universidad Autónoma Metropolitana Iztapalapa
10/09/2007 Manuel Aguilar Cornejo 2
IndiceIndiceIntroducciónTipos de ataques a los equipos de cómputoPrevención de ataques: – instalación de antivirus, – firewalls, – medidas preventivas, etc.
Sistemas de detección de intrusos Herramientas para la detección de intrusos Cómputo Forense Conclusiones
10/09/2007 Manuel Aguilar Cornejo 3
IntroducciIntroduccióónn
Objetivo: dar un panorama sobre la importancia de la información, los cuidados necesarios, y algunos ejemplos de técnicas y herramientas para su protección, así como un panorama general de lo que es el cómputo forense.
10/09/2007 Manuel Aguilar Cornejo 4
IntroducciIntroduccióónn
Importancia– Tecnología => Valor de la información– Conectividad => Riesgos– Evidencias => Registros, bitácoras -Nuevas técnicas
10/09/2007 Manuel Aguilar Cornejo 5
IntroducciIntroduccióónn
Tenemos diferentes tipos de amenazas a la seguridadde la información debido a:
– Fallas humanas– Ataques malintencionados– Catastrofes naturales
Para todos los casos una solución factible seríarespaldar la información en algún lugar diferente y seguro.
10/09/2007 Manuel Aguilar Cornejo 6
IntroducciIntroduccióónn
Debemos de garantizar no solamente la seguridadde la información sino su confidencialidad y mal uso.
Para ello debemos de evitar los accesos no autorizados al sistema, así como los ataques al mismo.
10/09/2007 Manuel Aguilar Cornejo 7
IndiceIndiceIntroducciónTipos de ataques a los equipos de cómputoPrevención de ataques: – instalación de antivirus, – firewalls, – medidas preventivas, etc.
Sistemas de detección de intrusos Herramientas para la detección de intrusos Cómputo forenseConclusiones
10/09/2007 Manuel Aguilar Cornejo 8
TiposTipos de de ataquesataques
sniffing: Consiste en observar todos los paquetes que pasan por la redAtaques de contraseña: – Usando diccionario– Por fuerza bruta
DS: Denegacion de servicio. consiste en mandar mas informacion de la que puedaser atendida.
10/09/2007 Manuel Aguilar Cornejo 9
TiposTipos de de ataquesataques
Ingeniería social: consiste en obtenerinformación del sistema mediante engaños. Phising: fraude electrónico, ejemplo mails de banamex.Escaneo de puertos: busqueda de algúnpuerto para accesar los servicios del sistema.
10/09/2007 Manuel Aguilar Cornejo 10
TiposTipos de de ataquesataquesCódigo malicioso (virus) – Bombas lógicas: código que se activa bajo la ocurrencia
de un evento– Troyanos: programa que simula ejecutar una función
mientras que ejecuta otra.– Cookies: archivos de texto con información acerca de la
navegación efectuada por el usuario en internet e información confidencial del usuario
– Keyloggers: programas que registran todas las teclaspulsadas
– Spyware: aplicaciones que recogen y envian informaciónsobre el usuario de internet.
10/09/2007 Manuel Aguilar Cornejo 11
TiposTipos de de ataquesataques
Puertas traseras: consiste en buscar huecosde seguridad en los sistemas operativosTrashing: consiste en buscar informaciónimportante en la “basura”
10/09/2007 Manuel Aguilar Cornejo 12
IndiceIndiceIntroducciónTipos de ataques a los equipos de cómputoPrevención de ataques: – instalación de antivirus, – firewalls, – SDI, etc.
Sistemas de detección de intrusos Herramientas para la detección de intrusos Cómputo forenseConclusiones
10/09/2007 Manuel Aguilar Cornejo 13
PrevenciPrevencióón de ataquesn de ataques
Los métodos para reducir los riesgos debido a virus pueden ser activos o pasivos:
Activos: – Antivirus
Pasivos: – Copias de seguridad– Estudiar mas sobre el software de nuestra computadora– Desconfiar
10/09/2007 Manuel Aguilar Cornejo 14
PrevenciPrevencióónn de de ataquesataques
Antiespías gratuitos:
Spybot – Search & DestroyAd-AwareSpywareBlaster
Se recomienda no usar un solo programa antiespíasino una combinación de varios
10/09/2007 Manuel Aguilar Cornejo 15
PrevenciPrevencióónn de de ataquesataques
Por otro lado, también existen muchos programas que se presentan como "antiespías" y en realidad no lo son.
Algunos de ellos hacen lo contrario de lo que predican, instalan espías (ejemplos conocidosy comprobados, verhttp://www.vsantivirus.com/lista-nospyware.htm)
10/09/2007 Manuel Aguilar Cornejo 16
PrevenciPrevencióónn de de ataquesataques
Otro sistema de prevención de ataquesefectivo son los firewalls (cortafuegos), queprotege de accesos no autorizados hacia la red interna (pero no protege contra ataquesdesde dentro de la red).
10/09/2007 Manuel Aguilar Cornejo 18
PrevenciPrevencióónn de de ataquesataques
Sistemas de Detección de Intrusos (SDI)
Una intrusión es definida como un conjuntode acciones que intentan comprometer(poner en peligro) la integridad, la confidencialidad o la disponibilidad de un sistema informático.
10/09/2007 Manuel Aguilar Cornejo 19
IndiceIndiceIntroducciónTipos de ataques a los equipos de cómputoPrevención de ataques: – instalación de antivirus, – firewalls, – medidas preventivas, etc.
Sistemas de detección de intrusosHerramientas para la detección de intrusos Cómputo forenseConclusiones
10/09/2007 Manuel Aguilar Cornejo 20
SDISDI
Normalmente los intrusos (crakers) expertos siguentres pasos para llevar un ataque:
– Preparan el ataque (ej. Busqueda de puertos)– Lanzan el ataque– Borra todo rastro de su acceso
Nuestro objetivo es detectar y eliminar la intrusión lo antes posible para limitar el daño
10/09/2007 Manuel Aguilar Cornejo 21
SDI SDI
Existen dos tipos de sistemas de detección de intrusos:
Los basados en host, SDIhLos basados en red, SDIrActualmente se proponen una combinaciónde ambos, SDIh&r
10/09/2007 Manuel Aguilar Cornejo 22
SDIhSDIh
Su fuente de información son las bitácorasdel sistema prestando especial énfasis a los registros relativos a los demonios de red, como un servidor web o el propio demonioinetd.
Problema: pocos administradores revisanesas bitácoras.
10/09/2007 Manuel Aguilar Cornejo 23
EsquemaEsquema de un de un SDIhSDIh
Registro de actividadesen bitácoras
Análisis de datos
Encargado de seguridad
Respuestas
10/09/2007 Manuel Aguilar Cornejo 24
SDIhSDIhEntre las bitácoras del sistema, tenemos los
archivos:– secure: registra los accesos logrados y fallidos. – maillog: supervisa el servicio de e-mail– message: almacena mensajes de baja y media prioridad.
Contiene información sobre el arranque del sistema, asícomo de las sesiones abiertas
– acces_log: almacena los accesos a la pag. del servidor– error_log: presenta informes de todos los errores que
provienen del servidor web.– Etc.
10/09/2007 Manuel Aguilar Cornejo 25
SDIhSDIh
Ejemplo:
Oct 31 00:42:19 alpha sshd[12433]: Failed password for root from 67.33.168.95 port 54455 ssh2
Indica que un usuario con IP 67.33.168.95 intentóconectarse como root por el puerto 54455 en la fecha señalada, pero con contraseña incorrecta
10/09/2007 Manuel Aguilar Cornejo 26
EjemplosEjemplos de de SDIhSDIh
OSSEC (http://ossec.net) de dominiopúblico, actúa en tiempo real, puederesponder de manera activa a los ataques y es compatible con Linux, MacOS, Solaris y Windows.
Tripware, SDI comercial realiza análisisperiódico con respuestas pasivas.
10/09/2007 Manuel Aguilar Cornejo 27
SDIrSDIr
Son capaces de detectar ataques contra una red local.
Detectan las anomalías en la red cuando el ataqueestá en curso.
La prioridad de estos sistemas es detectar el ataquelo antes posible para que cause el menor dañoposible.
10/09/2007 Manuel Aguilar Cornejo 28
Sensor de red
Paquete de red
RED
Almacenamientode la información
de paquetes
Analisis de datos
Respuestas
Encargado de seguridad
Organización de un SDIr
10/09/2007 Manuel Aguilar Cornejo 29
SDIrSDIr
Snort (http://www.snort.org) es un sniffer de paquetes (de dominio público).
Es un detector de intrusos basados en anomaliasdel funcionamiento de la red
Utiliza un lenguaje basado en reglas (definidas porel administrador, creadas autómaticamente por el sistema, o una combinacion de ambas) paradetectar intrusos.
10/09/2007 Manuel Aguilar Cornejo 30
SDIrSDIr
La caracteristica más apreciada de Snort essu subsistema flexible de firmas de ataquesque está actualizandose constantemente a través de internet.
Los usuarios de Snort pueden enviar susfirmas de ataques para beneficiar a toda la comunidad.
10/09/2007 Manuel Aguilar Cornejo 31
SDIh&rSDIh&r
Los SDIh y los SDIr se puedencomplementar e implementarsimultánemente para obtener un alto nivelde seguridad.
Un SDIh&r está constituido por sensores en cada huésped y un sensor en cada segmentode red.
10/09/2007 Manuel Aguilar Cornejo 32
SDIh&rSDIh&r
Sus principales componentes son:
– Agentes huesped– Agentes de red– Transeptores (comunicación) – Consola de eventos (interfaz con el operador)
10/09/2007 Manuel Aguilar Cornejo 34
IndiceIndiceIntroducciónTipos de ataques a los equipos de cómputoPrevención de ataques: – instalación de antivirus, – firewalls, – medidas preventivas, etc.
Sistemas de detección de intrusos Herramientas para la detección de intrusosCómputo Forense Conclusiones
10/09/2007 Manuel Aguilar Cornejo 35
EjemplosEjemplos de de herramientasherramientas de de SDISDI
SDI Sensor Ejecución Respuesta Arquitectura Distribucion
Tripware Huésped Periódico Pasivas Centralizado Comercial
OSSEC Huésped T. Real Activas Distribuido Libre
RealSecure Red T. Real Activas Distribuido Comercial
Snort Red T. Real Activas Centralizado Libre
Prelude Híbrido T. Real Activas Distribuido Libre
DIDS Híbrido T. Real Activas Centralizado No disp.
10/09/2007 Manuel Aguilar Cornejo 36
IndiceIndiceIntroducciónTipos de ataques a los equipos de cómputoPrevención de ataques: – instalación de antivirus, – firewalls, – medidas preventivas, etc.
Sistemas de detección de intrusos Herramientas para la detección de intrusos Cómputo Forense Conclusiones
10/09/2007 Manuel Aguilar Cornejo 37
CCóómputomputo ForenseForenseEvidencia digital:– Es un tipo de evidencia física. Esta construida de
campos magnéticos y pulsos electrónicos que puedenser recolectados y analizados con herramientas y técnicas especiales.(Casey 2000, pág.4)
Computación forense– Es la aplicación legal de métodos, protocolos y técnicas
para obtener, analizar y preservar evidencia digital relevante a una situación en investigación. (Kovacich2000, pag.243)
10/09/2007 Manuel Aguilar Cornejo 38
CCóómputomputo ForenseForenseProvee principios y técnicas que facilitan la investigación de ofensas catalogadas como criminales.– Implica la aplicación de la ciencia al campo legal– Cualquier principio científico o técnica puede ser aplicada
para:Identificar,Recuperar,Reconstruir yAnalizar evidencia durante un investigación de un delito.
– Aplicando métodos científicos los especialistas forensespueden analizar la evidencia para:
Crear hipótesis, efectuar pruebas para verificar dichas hipótesis, generando posibilidades claras sobre lo que ocurrió.
10/09/2007 Manuel Aguilar Cornejo 39
AtenciAtencióónn a un a un incidenteincidente y y ananáálisislisis forenseforense
Atención a un incidente:– Prevención– Identificación– Contención– Erradicación– Recuperación– Seguimiento
10/09/2007 Manuel Aguilar Cornejo 40
AtenciAtencióónn a un a un incidenteincidente y y ananáálisislisis forenseforense
Atención a un incidente:– Prevención– Identificación– Contención– Erradicación– Recuperación– Seguimiento
Instalación de herramientas adecuadas
Auditorias, parches, cultura seguridad, etc.
Incidentes externos: web, phishing, DDS, etc.
Incidentes internos
10/09/2007 Manuel Aguilar Cornejo 41
AtenciAtencióónn a un a un incidenteincidente y y ananáálisislisis forenseforense
Atención a un incidente:– Prevención– Identificación– Contención– Erradicación– Recuperación– Seguimiento
•Verificar que no sea falsa alarma
•Buena documentación
•Iniciar una cadena de custodia
•No hay receta: hay que utilizarbitacoras, firewall, IDS, etc. y correlacionar la información
•Cualquier comando modifica la evidencia, el no hacer nada también la modifica.
10/09/2007 Manuel Aguilar Cornejo 42
AtenciAtencióónn a un a un incidenteincidente y y ananáálisislisis forenseforense
Atención a un incidente:– Prevención– Identificación– Contención– Erradicación– Recuperación– Seguimiento
Evitar daños colaterales
•Limitar el control de acceso
•Cambiar contraseñas
•Deshabilitar cuentas, etc.
Analizar riesgos de cada acción
•Intruso observando
•Evidencia volatil
10/09/2007 Manuel Aguilar Cornejo 43
AtenciAtencióónn a un a un incidenteincidente y y ananáálisislisis forenseforense
Atención a un incidente:– Prevención– Identificación– Contención– Erradicación– Recuperación– Seguimiento
Evitar al máximo la contaminación de la evidencia
Apagar el sistema?
Desconectar el sistema de la red?
Acciones a evitar:
•Escribir en medios originales,
•Matar algún proceso
•Modificar el sistema antes de obtener evidencia (apagar, actualizar, etc.)
10/09/2007 Manuel Aguilar Cornejo 44
AtenciAtencióónn a un a un incidenteincidente y y ananáálisislisis forenseforense
Atención a un incidente:– Prevención– Identificación– Contención– Erradicación– Recuperación– Seguimiento
Eliminacion de los factoresque llevaron al incidente: vulnerabilidades del sistema, configuraciones no seguras, control de acceso, etc.
10/09/2007 Manuel Aguilar Cornejo 45
AtenciAtencióónn a un a un incidenteincidente y y ananáálisislisis forenseforense
Atención a un incidente:– Prevención– Identificación– Contención– Erradicación– Recuperación– Seguimiento
Los sistemas se restauran, se configuran para su operaciónadecuada y comienzan a utilizarse
10/09/2007 Manuel Aguilar Cornejo 46
AtenciAtencióónn a un a un incidenteincidente y y ananáálisislisis forenseforense
Atención a un incidente:– Prevención– Identificación– Contención– Erradicación– Recuperación– Seguimiento
Recomendaciones paraevitar incidentos en lo sucesivo (en la medida de lo posible)
10/09/2007 Manuel Aguilar Cornejo 47
HerramientasHerramientas
Deben de cubrir los siguientes aspectos:– Información sobre procesos– Información sobre cuentas de usuarios– Información para la revisión de bitácoras e historiales– Busqueda de malware– Información sobre los datos alojados en memoria
volátil– Busqueda de archivos– Creación de imágenes
10/09/2007 Manuel Aguilar Cornejo 48
HerramientasHerramientasLas herramientas para el análisis forense se enfocan a
las fases de preservación y búsqueda, ejemplos de ellas son:
Encase producido por Guidance Software.Forensic Toolkit producido por Acces Data Corp (FTK™) FTK, tiene indexado total en texto, busquedasavanzadas, recuperación de archivos eliminados, búsqueda detallada de datos, análisis de e-mail, etc. disponible en:http://www.accessdata.com/common/pagedetail.aspx?PageCode=downloads(incluye manuales)
10/09/2007 Manuel Aguilar Cornejo 49
HerramientasHerramientasProDiscovery facilita la localización de datos sobre unacomputadora mientras protege la evidencia. Se puededescargar un demo y manuales de: http://www.techpathways.com/ProDiscoverDFT.htm
SMART creada por ASData, versión de evaluaciónhttp://www.asrdata2.com/
The Coroner’s Toolkit (TCT): es una colección de programas escritos por Dan Farmer and Wietse Venemapara analisis post-mortem de sistemas UNIX. http://www.porcupine.org/forensics/tct.htmlEjemplos de sus uso se encuentran en su libro
10/09/2007 Manuel Aguilar Cornejo 50
HerramientasHerramientas
The Sleuth Kit/Autopsy Browser son herramientas open source (disponibles de manera gratuita) de investigación digital que corren sobre sistemas unix (talcomo: Linux, OS X, FreeBSD, OpenBSD, and Solaris). Pueden analizar los sistemas de archivos NTFS, FAT, Ext2, Ext3, UFS1 y UFS2 y varios tipos de volumenesde sistemas, disponible en:
http://www.sleuthkit.org/sleuthkit/download.phphttp://www.sleuthkit.org/autopsy/download.php
10/09/2007 Manuel Aguilar Cornejo 51
DocumentaciDocumentacióónnInternetLibrosEntre las revistas especializadas se encuentran International Journal of Digital Evidence, que acaba de liberar su edición Winter 2004; y Digital Investigation, que ofrece de forma gratuita su primer número.
Dentro de las distribuciones linux específicas para informática forense destacan F.I.R.E. Linux (Forensicand Incident Response Environment) y Honeynet CD-ROM.
10/09/2007 Manuel Aguilar Cornejo 52
IndiceIndiceIntroducciónTipos de ataques a los equipos de cómputoPrevención de ataques: – instalación de antivirus, – firewalls, – medidas preventivas, etc.
Sistemas de detección de intrusos Herramientas para la detección de intrusos Cómputo Forense Conclusiones
10/09/2007 Manuel Aguilar Cornejo 53
ConclusionesConclusiones
Es más que indispensable la prevenciónEs necesario el conocimiento de qué nosvamos a prevenirEs necesario el conocimiento de herramientas para la prevención de ataques: antivirus, anti-spyware, firewalls, etc. Se hace necesaria la instalación de herramientas como los SDI
10/09/2007 Manuel Aguilar Cornejo 54
ConclusionesConclusiones
Faltan profesionistas con conocimientoespecializado en el área.Existen organismos internacionales quecertifican los conocimientos en esta área de dominio. Es necesario conocer herramientasexistentes para el cómputo forense.